В Solar appScreener 3.8 добавили экспериментальный анализ уязвимостей

В Solar appScreener 3.8 добавили экспериментальный анализ уязвимостей

«Ростелеком-Солар», национальный провайдер сервисов и технологий кибербезопасности, объявляет о выходе новой версии анализатора кода Solar appScreener 3.8. В обновлении представлена инновационная функциональность экспериментального анализа, позволяющая пользователям системы опробовать в действии новейшие возможности обнаружения уязвимостей в коде, находящиеся в проработке у разработчиков системы.

Также в Solar appScreener 3.8 расширили поддержку языков программирования за счет анализа приложений на LotusScript, а в интерфейсе анализатора появился новый – информационный уровень критичности уязвимостей.

«Для максимально быстрой доставки технологических инноваций пользователям в Solar appScreener 3.8 был добавлен экспериментальный режим анализа приложений, написанных на языках Java, Scala и Kotlin. В его основе лежит сложный математический алгоритм, позволяющий увеличить точность и количество получаемых результатов при сканировании кода, — отмечает Даниил Чернов, директор Центра решений безопасности ПО компании «Ростелеком-Солар». — Чтобы активировать эту функцию при анализе, необходимо выбрать соответствующий параметр в интерфейсе. При этом нашим клиентам гарантировано сохранение наработанной годами стабильности функционирования системы: если экспериментальный режим анализа пользователю не нужен, он может его не использовать и продолжать работать в прежнем режиме».

В новой версии разработчики «Ростелеком-Солар» расширили набор языков программирования, добавив объектно-ориентированный язык LotusScript, на базе которого функционируют многие системы IBM и HCL. Этот язык широко применяется в разработке в Европе и США для создания приложений семейства Lotus – систем автоматизации бизнес-процессов, групповой деятельности в компаниях (корпоративная почта, чаты, мессенджеры и т.п.) Поддержка LotusScript реализована для расширения горизонтов развития продукта на международных рынках. Таким образом, на сегодняшний день Solar appScreener является мировым лидером среди систем данного класса по количеству поддерживаемых языков программирования – в его активе уже 35 языков.

Значимым изменением версии стало появление в системе классификации уязвимостей нового – информационного уровня критичности. Параметр является показателем некачественного кода, который пока уязвимостью не является, но в перспективе, в случае его модификации, в приложении могут образовываться бреши. В более ранних версиях системы информацию об этом можно было найти в разделе «Уязвимости с низким уровнем критичности». Начиная с Solar appScreener 3.8 данные вынесены в отдельный информационный блок и больше не влияют на общий рейтинг безопасности приложения.

Вместе с тем у пользователей новой версии появилась возможность самостоятельно создавать в интерфейсе системы карточки с правилами поиска уязвимостей. Новая функциональность особенно востребована компаниями, которые внедрили у себя процесс безопасной разработки на базе Solar appScreener. Например, с помощью собственных правил можно обнаруживать в коде разрабатываемых приложений признаки, указывающие на возможность осуществления технического фрода в системе.

Теперь пользователь может самостоятельно создать карточку с описанием, примерами и рекомендациями по устранению уязвимости, а затем добавить собственные паттерны поиска в формате XML. При этом заданные в системе правила отныне будут недоступны для редактирования: ранее изменённые системные правила автоматически преобразуются в пользовательские.

Для соответствия продукта регуляторным требованиям отдельных международных юрисдикций специалисты «Ростелеком-Солар» добавили возможность просмотра пользовательского соглашение (EULA) в любой момент, а не только при первом входе в систему.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Газпромбанк пожаловался на мощную DDoS-атаку

6 сентября на сервисы Газпромбанка натравили ботов. В результате DDoS-атаки пострадали сайт компании, кол-центр и смс-провайдер. ИБ-отдел Газпромбанка жалуется, что бизнесу в кибервойне не помогают силовики.

“Прошли те времена, когда модель угроз состояла из криминала, а целью была нажива. Теперь это политически подкованные группы с идеей что-то обрушить, сделать что-то плохое”, — этими словами начал свое выступление на Business Information Security Summit Александр Егоркин, первый вице-президент Газпромбанка.

Егоркин рассказал о масштабной DDoS-атаке, которой подверглись сервисы Газпромбанка 6 сентября. Хактивисты настроили тысячи ботов, которые одномоментно заполняли анкеты на сайте банка. Злоумышленники вбивали в форму данные из утечек интернет-провайдера, а тот автоматически рассылал сообщения по указанным номерам телефонов.

В итоге “упали” сайт и кол-центр Газпромбанка, а также сам смс-провайдер, рассказывает Егоркин.

“Надо отдать должное, атакующие серьезно готовились”, — оправдывается Егоркин. В тот же день атакам подвергся банк-клиент и сетевой экран Газпромбанка. По словам топ-менеджера, на восстановительные работы ушло примерно четыре часа.

Егоркин считает, что в сегодняшних сложных условиях кибервойны банки остаются один на один с хактивистами. Силовые структуры не уделяют должного внимания ни предотвращению, ни расследованию инцидентов.

Нас “дидосили” с российских, белорусских и китайских IP-адресов, добавляет ИБ-специалист. “Интернет-проксеры” и правоохранительные органы могли бы оперативно найти центр управления атаками и заблокировать сервер. Но этим никто не занимается.

“Каждый сам за себя в этом киберпространстве”, — сожалеет Егоркин.

Представитель Газпромбанка считает, что государство должно активнее помогать бизнесу в борьбе с атаками.

Уже на другой дискуссии, участников круглого стола “Ландшафт и стратегия ИБ голосами практиков” спросили, нужно ли государству больше вмешиваться в “разборки” больших бизнесов с киберпреступниками.

Крупные финансово-коммерческие организации должны сами оценивать свои риски, высказался Роман Морозов, руководитель Управления информационной безопасности Департамента безопасности, Capital Group.

Государство уже и так достаточно делает, добавили другие спикеры.

На рост атак жаловался и представитель коммерческого банка Кыргызстана.

Все мошенники, которые до этого терроризировали своими звонками российских пользователей, перешли на наших граждан, — уточнил начальник Службы ИБ Батырбек Абдрашитов. — В том числе потому, что официальный государственный язык в Кыргызстане — русский”.

Аферисты масштабировали свои сценарии на киргизских граждан.

После введения антироссийских санкций Кыргызстан стал плацдармом для поддержки “изъятых” в России банковских услуг, напоминает Абдрашитов. Риски при этом возросли.

“Нам было бы полезно и приятно принять участие в киберучениях вместе с российскими коллегами”, — добавляет Абдрашитов.

Есть вопросы у бизнеса и к импортозамещению, которое теперь принято называть “цифровой независимостью”.

В Газпромбанке больше половины систем уже импортозамещены, рассказывает Егоркин. Еще несколько десятков продуктов проходят тесты. По словам топ-менеджера, основные претензии к российским решениям — нагрузочные характеристики, слабая функциональность, сбои и “недружелюбный” интерфейс.

С такой оценкой согласен и Юрий Забавин, начальник отдела ИБ РусГазШельф:

“Многие российские решения, которые предлагают сейчас наши вендоры вместо ушедших, имеют костыли. Многие топовые решения ушли с рынка. Российские же не могут полноценно заменить. Интерфейс, нагрузочные характеристики не справляются, многое в стадии разработки. Мы ищем отечественные аналоги, которые бы нас удовлетворили. Но многие иностранные решения по деньгам были дешевле, чем наши. Сейчас я формирую бюджет. Пока не знаю, как буду защищать этот бюджет, если решения в 2022 году на такое же количество людей, стоят намного дороже, чем в 2021”.

Сдержанные эмоции вызвала у представителей бизнеса инициатива оборотных штрафов за утечки. На первой пленарной сессии BISS’22 регуляторы активно требовали большей ответственности для игроков.

По мнению вице-президента Газпромбанка, если банк внедрил все нужные ИБ-решения и соответствует требованиям, его не за что наказывать.

“Любая система уязвима, — считает Егоркин. — Тот, кто говорит, что можно построить неуязвимую систему, ничего не понимает в ИБ. Имея неограниченный денежный и временной ресурс, можно взломать любую систему”.

Кроме того, высокие оборотные штрафы могут спровоцировать шантажистов, считают участники дискуссии.

Оборотные штрафы за утечки — это философский вопрос, готового решения пока нет, заключили эксперты ИБ от бизнеса.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru